Passkeys sind eine neue Art, sich online zu authentifizieren, ohne dabei auf herkömmliche Passwörter angewiesen zu sein. Im Gegensatz zu Passwörtern, die aus einer Zeichenkette bestehen und bisweilen leicht zu erraten oder zu stehlen sind, basieren Passkeys auf kryptografischen Schlüsseln, die wesentlich sicherer sind. Einfach gesagt: Passkeys sind digitale Schlüssel, die auf einem persönlichen Gerät wie Smartphone oder Notebook gespeichert werden und den Zugang zu Online-Konten ermöglichen. Das Verwalten und Eingeben von Passwörtern ist damit nicht mehr erforderlich – die Anmeldung erfolgt automatisch und sicher.

Wie funktionieren Passkeys?

Die Funktionsweise von Passkeys basiert auf dem Konzept der asymmetrischen Kryptografie. Dies bedeutet, dass für jede Anmeldung zwei Schlüssel generiert werden: ein öffentlicher Schlüssel und ein privater Schlüssel.

• Öffentlicher Schlüssel: Dieser wird auf dem Server des Dienstes gespeichert, bei dem Sie sich anmelden möchten.
• Privater Schlüssel: Dieser verbleibt sicher auf dem persönlichen Gerät (z. B. Smartphone, Laptop oder Tablet).

Wenn Sie sich bei einem Dienst anmelden, sendet der Dienst eine Anfrage an Ihr Gerät. Ihr Gerät verwendet den privaten Schlüssel, um diese Anfrage zu signieren, und sendet die signierte Anfrage zurück an den Dienst. Der Dienst überprüft die Signatur mit dem öffentlichen Schlüssel. Stimmt alles überein, erhalten Sie Zugang.

Der Clou dabei: Ihr privater Schlüssel verlässt niemals Ihr Gerät. Selbst wenn ein Hacker den Server des Dienstes kompromittiert, kann er mit dem öffentlichen Schlüssel alleine nichts anfangen.

Warum sind Passkeys sicherer als Passwörter?

Passwörter haben einige grundlegende Schwachstellen. Sie können:

1. Erraten werden, besonders wenn sie einfach sind.
2. Gestohlen werden, z. B. durch Phishing-Angriffe.
3. Wiederverwendet werden, was ein grosses Risiko darstellt, wenn einer der genutzten Dienste kompromittiert wird.

Passkeys umgehen all diese Probleme:

• Sie sind einzigartig und werden für jedes Konto individuell erstellt.
• Sie können nicht gestohlen werden, da der private Schlüssel niemals das Gerät verlässt.
• Es gibt keine Phishing-Gefahr, da der gesamte Prozess automatisch abläuft und Sie niemals sensible Informationen manuell eingeben müssen.

Wo werden Passkeys bereits eingesetzt?

Grosse Technologieunternehmen wie Apple, Google und Microsoft haben Passkeys bereits in ihre Systeme integriert. Wenn Sie ein iPhone, ein Android-Gerät oder einen Windows-PC verwenden, haben Sie also wahrscheinlich schon die Möglichkeit, Passkeys zu nutzen. Viele Websites und Apps bieten diese Funktion ebenfalls an, wie beispielsweise Amazon, DocuSign, eBay, iCloud, LinkedIn, OneDrive, PayPal oder Twitter.

Wie nutzt man Passkeys?

Die gute Nachricht ist, dass Passkeys benutzerfreundlich sind. Die meisten modernen Geräte, wie Smartphones und Laptops unterstützen Passkeys bereits. Die Verwendung ist einfach:

1. Einmalige Einrichtung: Wenn Sie sich das nächste mal bei einem neuen Dienst oder Webseite registrieren, die Passkeys unterstützt, wählen Sie die Option “Login über Passkeys” (oder ähnlich) aus. Ein Passkey wird automatisch für Sie erstellt und auf Ihrem Gerät gespeichert.
2. Anmeldung: Bei zukünftigen Anmeldungen wird Ihr Gerät automatisch erkennen, dass ein Passkey verfügbar ist, und die Authentifizierung erfolgt nahtlos.

Meist können auch biometrische Methoden wie Fingerabdruck oder Gesichtserkennung verwendet werden, um den Prozess noch schneller und sicherer zu machen.

Fazit

Passkeys sind ein bedeutender Schritt in Richtung eines sichereren Internets. Sie bieten nicht nur besseren Schutz vor den Gefahren, die mit Passwörtern einhergehen, sondern sind auch wesentlich bequemer in der Anwendung. Es lohnt sich, diese Technologie im Auge zu behalten und Schritt für Schritt in den Alltag zu integrieren. So sind Sie bestens gerüstet für die Zukunft der digitalen Sicherheit.

Die Kriminalität im Internet wächst. Unter anderem machen «Ransomware-Attacken» regelmässig Schlagzeilen: Bei einem solchen Angriff entwenden Hacker mithilfe von Schadsoftware Unternehmensdaten und verschlüsseln sie. Für die Entschlüsselung stellen sie anschliessend hohe Lösegeldforderungen – wer diesen nicht nachkommt, muss damit rechnen, dass die gestohlenen Daten veröffentlicht werden.

Im Spiel befindet man sich in einer vermeintlich alltäglichen Bürosituation – wird anschliessend aber zur Zielscheibe von Cyberkriminellen. Es gilt, die Ransomware-Attacke so schnell wie möglich zu erkennen und richtig zu reagieren. Die Spielerin oder der Spieler wird dabei vor verschiedene Entscheide gestellt. Wer sich erfolgreich durch alle Aufgabenstellungen durchklickt, erhält am Ende eine persönliche Auswertung und weitere Informationen rund um den Schutz vor Hackerangriffen. Das Spiel kann von Unternehmen beliebig verwendet und in Sensibilisierungskampagnen integriert werden.

Bereits Anfang Jahr prophezeit ein Report der Versicherungsgesellschaft Allianz: Die grösste Gefahr für Unternehmen sind Hackerangriffe. Wie zur Illustration attackierten Hacker im Verlauf des Jahres so viele Unternehmen wie nie zuvor.

Dass die Gefahr aber nicht erst seit 2020 besteht, zeigen die Beispiele der Firmen Meier Tobler und Swisswindows: Das Nebikoner Gebäudetechnikunternehmen Meier Tobler kostete ein Hackerangriff im Vorjahr mehrere Millionen Franken. Noch mehr Aufsehen erregte die Pleite des Mörschwiler Fensterbauers Swisswindows mit rund 170 Mitarbeitenden. Diese sei unter anderem eine Folge eines Cyberangriffs im Frühjahr 2019, sagte der damalige CEO.

Gefahr von Hackern droht insbesondere KMUs, da hier oft das Risikobewusstsein und folglich auch entsprechende Vorsichtsmassnahmen fehlen. Doch es kann auch die Grossen erwischen, das zeigte sich im Mai: Der Bussnanger Zugbauer Stadler Rail wurde von Hackern erpresst. Diese drohten mit der Veröffentlichung sensibler Daten und forderten hohe Geldbeträge. Stadler gab nicht nach und die Erpresser veröffentlichten die Daten.

Opfer von Cyberkriminellen wurden von Frühling bis Herbst auch die ETH, ausserdem drangen Cyberkriminelle in das IT-System der Unternehmensgruppe Metall Zug ein. Den Tätern war es gelungen, interne Buchungen auf falsche Konten umzuleiten. Weitere öffentlich bekanntgewordene Angriffsziele waren die Brugg-Gruppe sowie deren Tochter Fatzer AG. Kurz darauf meldete auch die Swatch-Gruppe einen Angriff. Rund zwei Wochen dauerte es, bis die wichtigsten Systeme wieder liefen.

Im November wurde bekannt: Auch auf die Privatklinikgruppe Hirslanden gab es einen Angriff. Das Unternehmen kam glimpflich davon: Die Versorgung der Patienten wurde nicht beeinträchtigt.

Im Dezember hat es schliesslich auch den Industriekonzern Huber+Suhner erwischt: Nach einem Cyberangriff mit Schadsoftware schaltete das Unternehmen umgehend alle Arbeitsstationen aus, die Produktion war weitgehend lahmgelegt.

Die hier beschriebenen, öffentlich gewordenen Fälle sind allerdings nur die Spitze des Eisbergs. Wie unserem kürzlichen Blog-Beitrag entnommen werden kann, wird geschätzt, dass bereits jedes vierte Schweizer KMU Opfer eines Cyberangriffs wurde.

Cyberangriffe kommen in der Schweiz bei KMU häufig vor. Ein Viertel der Unternehmen mit 4 bis 49 Mitarbeitenden mussten bereits einen solchen Angriff erleben. Rund ein Drittel dieser Firmen wurde durch die Attacke finanziell geschädigt und jedes zehnte angegriffene KMU verlor Kundendaten.

Das zeigt eine aktuelle Studie im Auftrag von Digitalswitzerland, dem Nationalen Zentrum für Cybersicherheit (NCSC) des Bundes, der Hochschule für Wirtschaft der Fachhochschule Nordwestschweiz (FHNW), der Schweizerischen Akademie der Technischen Wissenschaften (SATW) und der Mobiliar.

Trotz dieser hohen Zahl an Cyberangriffen fürchten nur wenige Geschäftsführer, dass ihr Geschäft attackiert werden könnte: Laut der Studie gaben rund zwei Drittel der Geschäftsführer das Risiko eines Angriffs als gering an. Nur 11 Prozent schätzen das Risiko eines Angriffs als gross ein. Befragt wurden für die Studie 503 Geschäftsführer von Unternehmen mit 4 bis 49 Mitarbeitenden in der ganzen Schweiz.